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(54) Title: TROUBLEPROOF PROCESS INPUT AND OUTPUT 

(54) Bezeichnung: FEHLERSICHERE PROZESSEINGABE UND PROZESSAUSGABE 

(57) Abstract 

Disclosed is a method for operating an automation 
system, whereby the automation system has at least one 
input unit to receive process signals* at least one output 
unit controlling an external peripheral device and both 
units are connected to each other for communication 
purposes by means of a bus. The inventive method 
is characterised in that at least one of the input units 
and at least one of the output units are embodied as 
a troubleproof input unit (EE) or a troubleproof output 
unit (AE). The inventive method is also characterised in 
that the troubleproof input unit (EE) transfers a telegram 
to the troubleproof output unit (AE) at given moments 
in time and that the telegram (T) contains at least one 
item of useful information, one destination point code 
(TT) designating the addressed output unit (AE) and 
one origin code (TS) designating the transmitting input 
unit (EE). The invention is further characterized in that 
the output unit (AE) evaluates continual reception of the 
telegram (T) as an indication of an intact communication 
relation and shifts the connected peripheral device into 
a safe state. 






(57) Zusammenfassung 

Es wird ein Verfahren zum Betrieb eines Automatisierungssy stems angegeben, wobei das Automatisierungssystem mindestens eine 
Eingabeeinheit zur Aufnahme von ProzeBsignalen und mindestens eine Ausgabeeinheit zum Ansteueren externer Peripherie aufweist, 
die kommunikativ uber einen Bus miteinander verbunden sind, wobei sich das Verfahren dadurch auszeichnet, dafi zumindest eine der 
Eingabeeinheiten und zumindest eine der Ausgabeeinheiten als fehlersichere Eingabeeinheit (EE) bzw. fehlersichere Ausgabeeinheit (AE) 
ausgebildet sind, und daB die fehlersichere Eingabeeinheit (EE) der fehlersicheren Ausgabeeinheit (AE) zu vorgegebenen Zeitpunkten ein * 
Telegramm (T) abermittelt, und daB das Telegramm (T) zumindest eine Nutzinformation (TN), eine die adressierte Ausgabeeinheit (AE) 
bezeichnende Zielkennung (TT) und eine die sendende Eingabeeinheit (EE) bezeichnende Urspmngskennung (TS) aufweist, und daB die 
Ausgabeeinheit (AE) den kontinuierlichen Empfang des Telegramms (T) als Indiz fur eine intakte Kommunikationsbeziehung auswertet und % 
andernfalls die angeschlossene Peripherie in einen sicheren Zustand uberfuhrt. 
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Beschreibung 

Fehlersichere Prozefteingabe und Prozefiausgabe 

5 Die vorliegende Erfindung betrifft ein Verfahren zum Betrieb 
eines Automatisierungssystems, wobei das Automatisierungssy- 
stem mindestens eine Eingabeeinheit zur Aufnahme von Prozeli- 
signalen und mindestens eine Ausgabeeinheit zum Ansteuern ex- 
terner Peripherie aufweist, wobei die Eingabeeinheit und die 
10 Ausgabeeinheit kommunikativ uber einen Bus miteinander ver- 
bunden sind. 

Urn bei Automatisierungsvorhaben, die von einem gattungsgema- 
fien Automat isierungs system gesteuert und/oder uberwacht wer- 
15 den, in Notsituationen ein schnelles Abschalten der automati- 
sierten Prozesse oder einzelner Vorgangen zur erreichen, ist 
bisher eine Not-Aus-Behandlung in Form einer Not-Aus-Kette 
vorgesehen. 

20 In eine derartige Not-Aus-Kette werden Not-Aus-Schalter, 

Lichtgitter, Tretmatten oder Ahnliches integriert . Aufgrund 
der an eine Not-Aus-Behandlung zu stellenden Anf orderungen 
ist es iiblich, die Not-Aus-Behandlung in herkommlicher Ver- 
drahtung auszufuhren. Als Beispiel sei hier ein Tunnelofen 

25 genannt, der beziiglich des Automatisierungsprozesses in meh- 
rere Segmente unterteilt ist. An fur den Benutzer zugangli- 
chen Positionen an der Aufienseite des Tunnelofens sind fur 
die Not-Aus-Behandlung z.B. Not-Aus-Taster vorgesehen, wobei 
die Betatigung eines Not-Aus-Tasters je nach Auslegung der 

30 automatisierten Gesamtaniage , z.B. das definierte Herunter- 
fahren des gesamten Prozesses nach sich zieht . 

Die Not-Aus-Taster sind Feldgerate mit einer Eingabefunkt ion . 
Die Gerate, die das Herunterf ahren des Prozesses bewirken, 
35 sind entsprechend Gerate mit einer Ausgabef unktion zur An- 
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steuerung externer Peripherie, z.B. also Ausgabegerate, die 
einen Motor fur Transportprozesse, einen Motor fur Ventilati- 
on, ein Hydraulikaggregat zur Positionierung o.a. steuern. 

Im Falle einer Not-Aus-Situation ist das unmittelbare Ab- 
schalten der externen Peripherie erforderlich . Zu diesem 
Zweck ist zwischen den Eingabegeraten, also den Not-Aus- 
Tastern, und den Ausgabegeraten, wie den Motoren oder den Ag- 
gregates eine Not-Aus-Kette aufgebaut, die bisher in konven- 
tioneller Verdrahtung auszufilhren war und die beim Betatigen 
eines Not-Aus-Tasters ein unmittelbares Abschalten des Motors 
bzw. ein unmittelbares Abschalten des Hydraulikaggregates be- 
wirkt. Die konventionelle Verdrahtung ist dabei bisher auf- 
grund der Sicherheitsanforderungen, die an eine Not-Aus- 
Behandlung zu stellen sind, erforderlich. 

Dabei ist es jedoch nachteilig, bei grolif lachigen Automati- 
sierungsprojekten wie z.B. bei den beschriebenen Tunnelofen, 
die konventionelle Verdrahtung im gesamten Prozeflfeld vorzu- 
sehen . 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
zum Betrieb eines Automatisierungssystems anzugeben, bei dem 
zur Behandlung von Not-Aus-Situationen auf die konventionelle 
Verdrahtung verzichtet werden kann und statt dessen eine kom- 
munikative Verbindung zwischen den Komponenten der Not-Aus- 
Kette uber den Bus des Automatisierungssystems besteht. 

Erfindungsgemafi ist daher vorgesehen, fur die Not-Aus- 
Behandlung auf die konventionelle Verdrahtung zu verzichten 
und samtliche Feldgerate, d.h. also auch die Not-Aus-Taster 
und die in die Not-Aus-Kette einzubindenden Motoren oder Ag- 
gregate, liber den Prozefibus kommunikativ zu verbinden. 
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Diese Aufgabe wird fur ein Verfahren zum Betrieb eines Auto- 
matisierungssys terns, wobei das Automatisierungssyst em minde- 
stens eine Eingabeeinheit zur Aufnahme von ProzeUsignalen und 
mindestens eine Ausgabeeinheit zum Ansteuern externer Peri- 
5 pherie aufweist, wobei die mindestens eine Eingabeeinheit und 
die mindestens eine Ausgabeeinheit kommunikativ uber einen 
Bus miteinander verbunden sind, dadurch gelost, daft zumindest 
eine der Eingabeeinheiten und zumindest eine der Ausgabeein- 
heiten als f ehlersichere Eingabeeinheit bzw. f ehlersichere 

10 Ausgabeeinheit ausgebildet sind, daft die f ehlersichere Einga- 
beeinheit der f ehlersicheren Ausgabeeinheit zu vorgegebenen 
Zeitpunkten ein Datum ubermittelt, daft das Datum zumindest 
ein Nutzinformation, eine die adressierte Ausgabeeinheit be- 
zeichnende Zielkennung und eine die sendende Eingabeeinheit 

15 bezeichnende Ursprungskennung aufweist, dali die Ausgabeein- 
heit den kontinuierlichen Empfang des Datums als Indiz fur 
eine intakte Kommunikationsbeziehung auswertet und andern- 
falls die angeschlossene Peripherie in einen sicheren Zustand 
uberfuhrt . 

20 

Die an eine Not-Aus-Behandlung zu stellenden Sicherheitsan- 
forderungen werden gemaftder Erfindung erfullt, wenn die Ein- 
gabegerate, also z.B. die Not-Aus-Taster und die in die Not- 
Aus-Kette einzubindenden Ausgabegerate, die zur Ansteuerung 
25 der Motoren oder Aggregate vorgesehen sind, jeweils fehlersi- 
cher ausgefuhrt sind. Im Falle einer Not-Aus-Situat ion ergibt 
sich dann in der automatisierten Anlage folgender Ablauf : 

Beim Betatigen eines Not-Aus-Tasters wird durch das Datenein- 
30 gabegerat ein Datum auf den Bus gelegt . Das zu. ubermittelnde 
Datum weist gemali den Spezif ikationen des fur die physikali- 
sche Kommunikationsverbindung verwendeten Busprotokolls zu- 
mindest ein Nutzinf ormation, in diesem Falle also die Infor- 
mation, ob der Not-Aus-Taster gedruckt ist oder nicht, zumin- 
35 dest eine Zieladresse, also die Adresse des Kommunikation- 
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steilnehmers, an die die Nachricht gesendet wird - wobei eine 
spezielle Kennung ein Versenden der Nachricht an alle Kommu- 
nikationsteilnehmer ermoglicht - sowie schlieiilich die Ur- 
sprungs kennung, die den Absender des Datums identif iziert , 
auf . 

Die Erfindung kann nun einmal so eingesetzt werden, daii das 
Datum an einen ganz bestiramten Kommunikationsteilnehmer ver- 
sendet wird, wobei der Adressat anhand der im Datum enthalte- 
nen Zieladresse erkennt, daii das Datum fur ihn bestimmt ist, 
Oder daii das Datum an alle Kommunikationteilnehmer versendet 
wird, wobei jeder einzelne Kommunikationsteilnehmer anhand 
der Ursprungsadresse des Datums ermittelt, ob das Datum, also 
die Nutzinformation des Datums von ihm auszuwerten ist. 

Andererseits kann das Datum auch an eine ubergeordnete Ein- 
heit des Automatisierungssystems, z.B. die Zentraleinheit ei- 
ner speicherprograrnmierbaren Steuerung, versendet werden, wo- 
bei diese wiederum an der Ursprungskennung des Datums er- 
kennt, daii eine Nachricht, z.B. von einem Not-Aus-Taster ein- 
getroffen ist, die einer unmittelbaren Behandlung bedarf, so 
daii die Zentraleinheit unmittelbar nach Detektion des Datums 
dieses an die Ausgabegerate weiterleitet , so daii diese ein 
Herunterfahren bzw. Abschalten der an die Ausgabegerate ange- 
schlossenen Motoren oder Aggregate auslosen bzw. selbst ein 
weiteres Datum an die Ausgabegerate absetzen, das zum glei- 
chen Resultat f uhrt . 

Die Ausgabeeinheit wertet dabei den kontinuierlichen Empfang 
des Datums von der Eingabeeinheit als Indiz fur eine intakte 
Kommunikationsbeziehung. Fur den Fall, daii die Ausgabeeinheit 
das Ausbleiben eines Datums von einer Eingabeeinheit wahrend 
einer Zeitspanne, die groiier als eine vorgebbare Zeitspanne 
ist, feststellt, uberfuhrt die Ausgabeeinheit die angeschlos- 
sene Peripherie in einem sicheren Zustand und sorgt damit 
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wieder fur das Herunterf ahren der angeschlossenen Motoren 
oder Aggregate. 



Zum Einsatz im Rahmen des erf indungsgemalien Verfahrens zum 
5 Betrieb eines Automatisierungssystems ist ferner ein fehler- 
sicheres Dateneingabegerat mit mindestens einem Eingabekanal 
zum Anschlufi peripherer Sensorik vorgesehen, fur das eine 
Pruf schaltung vorgesehen ist, die zu vorgegebenen Zeiten ei- 
nen Prufvorgang auslost und dabei fur mindestens einen der 

10 Eingabekanale des f ehlersicheren Eingabegerates einen Status 
wechsel bewirkt, wobei eine interne Logik den Statuswechsel 
uberwacht und ggf s . eine Fehlermeldung ausgibt, wobei der 
durch die Prlif schaltung bewirkte Statuswechsel am Ende des 
Prufvorgangs wieder ruckgangig gemacht wird und wobei der 

15 Prufvorgang fur das Auslesen des betroffenen Eingabekanals 
vollkommen tran- 
sparent ist. 

Fur den Einsatz im Rahmen des erf indungsgemalien Verfahrens 
20 zum Betrieb eines Automatisierungssystems ist ferner Oder al 
ternativ ein f ehlersicheres Dateneingabegerat mit mindestens 
einem Eingabekanal zum Anschlufi peripherer Sensorik vorgese- 
hen, bei dem der mindestens eine Eingabekanal antivalent aus 
gelegt ist. 

25 

Die gemafi der obenstehenden Beschreibung ausgefuhrten fehler 
sicheren Eingabegerat e werden durch die genannten Malinahmen, 
d.h. durch die antivalente Auslegung des Eingabekanals bzw. 
durch die Uberwachung des Eingabekanals mittels einer Pruf- 
30 schaltung zu f ehlersicheren Dateneingabegeraten, wobei die 
beiden Malinahmen auch kombinierbar sind. 



35 



Zum Einsatz im Rahmen des erf indungsgemalien Verfahrens zum 
Betrieb eines Automatisierungssystems ist ferner eine fehler 
sicheres Ausgabegerat ausgebildete Ausgabeeinheit vorgesehen 
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Wenn fur das f ehlersichere Datenausgabegerat eine Verarbei- 
tungseinheit zur Verarbeitung benutzer-pro j ektierbarer logi- 
scher Verknupfungen vorgesehen ist, wobei die Verarbeitungs- 
einheit das Nut zinf ormation eines empfangenen Datums auswer- 
tet, das Nut zinf ormation der benutzerpro j ektierbaren logi- 
schen Verknupfung unterwirft und entsprechend dem Ergebnis 
der logischen Verknupfung den mindestens einen Ausgabekanal 
ansteuert, sind Sof twarekomponenten, die bisher ublicherweise 
in einem ubergeordneten Automatisierungsgerat , z.B. der Zen- 
traleinheit einer speicherprogrammierbaren Steuerung, vorge- 
sehen waren, auch in das f ehlersichere Ausgabegerat verlager- 
bar, so daii hier eine besonders schnelle und effektive Verar- 
beitung und Auswertung der logischen Verknupfungen moglich 
ist . 

Wenn fur das f ehlersichere Datenausgabegerat die Verarbei- 
tungseinheit ferner oder alternativ die zeitliche Abfolge der 
mit dem Nutzinf ormation ubermittelten Prozefldaten iiberwacht, 
und dem mindestens Ausgabekanal nur dann ansteuert, wenn die 
zeitliche Abfolge der zur Ansteuerung des Ausgabekanals er- 
forderlichen Daten innerhalb vorgebbarer Toleranzen liegt, 
ist ein sog. Muting moglich, das zur Erhohung der Sicherheit 
des automatisierten Prozesses beitragt. Als Beispiel sei die 
Absicherung einer Fahrbuhne mittels eines induktiven End- 
schalters und einer Lichtschranke genannt . Die Fahrbuhne lost 
bei ihrer Bewegung sowohl den induktiven Endschalter als auch 
die Lichtschranke in einer gewissen, durch die Geschwindig- 
keit der Fahrbuhne bestimmten zeitlichen Abfolge aus. 

Wenn die zeitliche Abfolge des Eingangs der zugehorigen Si- 
gnale innerhalb der vorgebenen Toleranzen liegt, kann die 
Verarbeitung fortgesetzt werden. Eine Person dagegen lost nur 
die Lichtschranke aus, wahrend das zusatzliche Signal des in- 
duktiven Endschalters wahrend der vorgegebenen Toleranzzeit 
ausbleibt. Eine solche Konstellation ist als Alarmkonstella- 
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tion auswertbar, auf die mit einer Not-Aus-Behandlung rea- 
giert werden kann. 



Wenn fur das f ehlersichere Datenausgabegerat eine als 
5 watchdog ausgebildete und die Verarbeitungseinheit uberwa- 
chende Uberwachungsschaltung vorgesehen ist, welche den min- 
destens einen Ausgabekanal in einen sicheren Zustand iiber- 
fuhrt, sobald eine Fehlfunktion der Verarbeitungseinheit 
festgestellt ist, ist uber die als watchdog ausgebildete 

10 Uberwachungsschaltung ein zweiter Abschaltweg etabliert. Wenn 
z.B. die Verarbeitungseinheit nicht mehr in der Lage ist, ei- 
nen speziellen Ausgang abzuschalten, wurde ohne die Uberwa- 
chungsschaltung ein Motor oder ein Aggregat z.B, permanent 
aktiviert bleiben. Die als watchdog ausgebildete Uberwa- 

15 chungs schaltung erkennt derartige Zustande und schaltet beim 
Erkennen eines solchen Zustands die Ausgange in einen siche- 
ren Zustand. 

Wenn bei dem f ehlersicheren Datenausgabegerat, der durch die 
20 Verarbeitungseinheit ansteuerbare Ausgabekanal als rucklesba- 
rer Ausgabekanal ausgebildet ist, das dem Ausgabekanal zu- 
fuhrbare Signal auch der Uberwachungsschaltung zufuhrbar ist, 
die Uberwachungsschaltung das ihr zugefiihrte und das vom Aus- 
gabekanal zuruckgelesene Signal vergleicht und bei Abweichun- 
25 gen den betroffenen Ausgabekanal oder auch samtliche Ausgabe- 
kanale bzw. die daran angeschlossene Peripherie in einen si- 
cheren Zustand uberfuhrt, werden Diskrepanzen der Ansteuerung 
der jeweiligen Ausgabekanale erkannt und diese unmittelbar in 
einen sicheren Zustand uberfuhrt. 

30 

Weitere Merkmale, Vorteile und Anwendungsmoglichkeiten der 
vorliegenden Erfindung ergeben sich aus den Unteranspruchen 
der nachfolgenden Beschreibung von Ausfuhrungsbeispielen an- 
hand der Zeichnung und der Zeichnung selbst . Dabei bilden al- 
35 le beschriebenen und/oder bildlich dargestellten Merkmale -fur 
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sxch Oder in beliebiger Kombination den Gegenstand der vor- 
liegenden Erfindung, unabhangig von ihrer Zusammenf assung in 
den Patent anspruchen oder deren RucJcbeziehung . Dabei zeigen: 

FIG 1 ein vereinf achtes Blockschaltbild eines Automati- 

sierungs system, 

FIG 2 ein Blockschaltbild eines f ehlersicheren Datenein- 

gabegerates und 

FIG 3 ein Blockschaltbild eines f ehlersicheren Datenaus 

gabegerates. 



In FIG 1 ist exemplarisch ein Blockschaltbild eines einfachen 
Automatisierungssystemes mit einem f ehlersicheren Dateneinga- 
begerat 2, einem f ehlersicheren Datenausgabegerat 3, und ei- 
nem ubergeordneten Automatisierungsgerat 1, z.B. der Zen- 
traleinheit 1 einer speicherprogrammierbaren Steuerung darge- 
stellt. Die Gerate sind uber einen Bus 4, vorzugsweise uber 
einen zum Einsatz in Industrieumgebungen geeigneten Bus 4, 
insbesondere den Profibus 4, kommunikativ miteinander verbun- 
den. 



An das f ehlersichere Dateneingabegerat 2 ist ein Not-Aus- 
Taster 1' angeschlossen . An das f ehlersichere Datenausgabege- 
rat 3 ist ein Motor 2' angeschlossen. Wenn der Not-Aus-Taster 
1' betatigt wird, nimmt das Dateneingabegerat 2 dieses Signal 
auf, ubermittelt es uber den Bus 4 an das Datenausgabegerat 
3, der daraufhin das Abschalten des Motors 2' bewirkt . 

In FIG 2 ein Blockschaltbild ist einer ersten Ausgestaltung 
eines f ehlersicheren Dateneingabegerates 2 dargestellt. Das 
fehlersichere Dateneingabegerat 2 ist uber den Bus 4 kommuni- 
kativ mit anderen an den Bus 4 angeschlossenen Geraten 1, 2, 
3, verbunden, dabei ist die Busanschaltung durch ein Bus- 
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ASICs 5 bewirkt* Die Funktionen des Datenausgabegerates 3 
werden durch eine Verarbeitungseinheit 6, die z.B. ein ASIC 
Oder einen Mikroprozessor ist, bewirkt. Der Verarbeitungsein 
heit 6 werden direkt oder indirekt die Eingangskanale 7-0, 7 
5 1 . . . 7-7 zugefuhrt . 

Ferner ist im Dateneingabegerat 2 eine Priif schaltung 8 vorge 
sehen, die gieichfails durch die Verarbeitungseinheit 6 kon- 
trolliert wird und zu vorgegebenen Zeitpunkten einen Prufvor 

10 gang auslost und dabei fur mindestens einen der Eingabekanal 
7-0, 7-1... 7-7 des f ehlersicheren Dateneingabegerats 2 einen 
Statuswechsel bewirkt. Dieser Statuswechsel wird von einer 
internen Logik 9 uberwacht, wobei die interne Logik 9 eine 
Fehlermeldung ausgibt, wenn der von der Pruf schaltung 8 aus- 

15 geloste Statuswechsel sich nicht auf den Status des jeweili- 
gen Eingangskanal 7-0, 7-1... 7-7 auswirkt . Am Ende des Pruf- 
vorgangs wird der durch die Pruf schaltung 8 bewirkte Status- 
wechsel wieder ruckgangig gemacht . Fur das Auslesen der be- 
troffenen Eingabekanale 7-0, 7-1... 7-7 wahrend des normalen 

20 Betriebs des f ehlersicheren Dateneingabegerats 2 ist der 
Prufvorgang dabei vollkommen transparent. 

Wenn die Eingange 7-0, 7-1... 7-7 der Verarbeitungseinheit 6 
zusatzlich auch in negierter Form 7-0', 7-1'... 7-7' zuge- 

25 fuhrt werden, sind die Eingangskanale antivalent ausgelegt . 
Die Verarbeitungseinheit 6 liest dann fur den betreffenden 
Eingangskanal, z.B. 7-2 dessen Status, z.B. logisch 0, und 
fur den antivalenten korrespondierenden Eingang 7-2' als ne- 
gierten Status das entsprechende Komplement, in diesem Falle 

30 also logisch 1. Fehlf unktionen bei der Weiterleitung der Sta 
ti der jeweiligen Eingangskanale konnen durch die Verarbei- 
tungseinheit 6 dann einfach und sicher erkannt werden, indem 
jeweils uberpruft wird, ob auf dem jeweiligen Eingangskanal 
und auf dem dazu antivalenten Eingangskanal komplementare 

35 Stati vorliegen. 
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In FIG 3 ist ein Blockschaltbild eines f ehlersicheren Daten- 
ausgabegerates 3 dargestellt , das mittels eines als Busan- 
schaltung 14 ausgebildeten Bus-ASICs 14 an den Prozeflbus 4 
angeschlossen ist. Das f ehlersichere Datenausgabegerat 3 
weist eine Verarbeitungseinheit 10 zur Verarbeitung benutzer- 
projektierbarer logischer Verknupf ungen auf, wobei die Verar- 
beitungseinheit 10 das Nutzinformation TN eines uber den Pro- 
zeflbus 4 empf angenen Telegramms auswertet, das Nutzinformati- 
on TN der benut zerpro j ektierbaren logischen Verknupf ung un- 
terwirft, und entsprechend dem Ergebnis der logischen Ver- 
knupfung den mindestens einen Ausgabekanal 11-0, 11-1... 11-7 
ansteuert . 

In der Darstellung gemafl FIG 3 weist das f ehlersichere Daten- 
ausgabegerat 3 eine als watchdog 12 ausgebildete, und die 
Verarbeitungseinheit 10 uberwachende Uberwachungsschaltung 12 
auf, welche den mindestens einen Ausgabekanal 11-0, 
11-1... 11-7 in einen sicheren Zustand uberfuhrt, sobald eine 
Fehlfunktion der Verarbeitungseinheit 10 festgestellt ist. Zu 
diesem Zweck uberwacht die Uberwachungsschaltung 12 die Funk- 
tion der Verarbeitungseinheit 10, wobei im Falle einer Fehl- 
funktion der Verarbeitungseinheit 10 die Stati der jeweiligen 
Ausgabekanale 11-0, 11-1... 11-7 durch die Uberwachungsschal- 
tung 12 bestimmt werden, wozu eine Treiberschaltung 13 vorge- 
sehen ist, die sowohl von der Verarbeitungseinheit 10 als 
auch von der Uberwachungsschaltung 12 ansteuerbar ist. 

Fur den Fall einer Fehlfunktion der Verarbeitungseinheit 10, 
uberschreibt die durch die Uberwachungsschaltung 12 ausgege- 
bene Ansteuerung der jeweiligen Ausgabekanale 11-0, 
11-1... 11-7 die jeweilige Ansteuerung der Verarbeitungsein- 
heit 10, die zu diesem Zeitpunkt bereits als fehlerhaft er- 
kannt wurde . 
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In der Darstellung gemafi FIG 3 ist das f ehlersichere Daten- 
ausgabegerat 3 ferner derartig ausgebildet , daft der durch die 
Verarbeitungseinheit ansteuerbare Ausgabekanal 11-0, 
11-1... 11-7 als rucklesbarer Ausgabekanal 11-0', 11-1'... 
11-7' ausgebildet ist, daJi das dem Ausgabekanal 11-0, 
11-1... 11-7 zufuhrbare Signal auch der Uberwachungsschaltung 
12 zufuhrbar ist, daft die Uberwachungsschaltung 12 das ihr 
zugefiihrte und das vom Ausgabekanal zuruckgelesene Signal 
11-0', 11-1' ... 11-7' vergleicht und bei Abweichungen den be- 
troffenen Ausgabekanal 11-0, 11-1... 11-7 in einen sicheren 
Zustand uberfuhrt . 

In der vorstehenden Beschreibung wird stets von Eingabe- bzw. 
Ausgabegeraten 2, 3 mit jeweils acht Eingabe- bzw. Ausgabeka- 
nalen ausgegangen. Selbstverstandlich kann die Anzahl der Ka- 
nale auch grolier oder kleiner als acht, z.B. 16 oder 32, 
sein . 
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Patentanspruche 

1. Verfahren zum Betrieb eines Automatisierungssystems , 

- wobei das Automatisierungssystem mindestens eine Eingabe- 
einheit zur Aufnahme von Prozefisignalen und mindestens eine 
Ausgabeeinheit zum Ansteuern externer Peripherie aufweist, 
die kommunikativ uber einen Bus miteinander verbunden sind, 
dadurch gekennzeichnet, 

- dafi zumindest eine der Eingabeeinheiten und zumindest eine 
der Ausgabeeinheiten als f ehlersichere Eingabeeinheit (EE) 
bzw. f ehlersichere Ausgabeeinheit (AE) ausgebildet sind, 

- dafi die f ehlersichere Eingabeeinheit (EE) der fehlersiche- 
ren Ausgabeeinheit (AE) zu vorgegebenen Zeitpunkten ein Te- 
legramm (T) ubermittelt, 

- dafi das Telegramm (T) zumindest ein Nutzinf ormation (TN) , 
eine die adressierte Ausgabeeinheit (AE) bezeichnende Ziel- 
kennung (TT) und eine die sendende Eingabeeinheit (EE) be- 
zeichnende Ursprungskennung (TS) aufweist, 

- dafi die Ausgabeeinheit (AE) den kontinuierlichen Empfang 
des Telegramms (T) als Indiz fur eine intakte Kommunikati- 
onsbeziehung auswertet und andernfalls die angeschlossene 
Peripherie in einen sicheren Zustand uberfuhrt . 

2. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 
gabekanal zum AnschlufJ peripherer Sensorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 



gegebenen Zeitpunkten einen Prufvorgang auslost und dabei fur 
mindestens einen der Eingabekanale des f ehlersicheren Daten- 
eingabegerates einen Statuswechsel bewirkt, wobei eine inter- 
ne Logik den Statuswechsel uberwacht und gegebenenf alls eine 
Fehlermeldung ausgibt, wobei der durch die Pruf schaltung be- 
wirkte Statuswechsel am Ende des Prufvorgangs wieder ruckgan- 



n e t 



dafi eine Pruf schaltung vorgesehen ist, die zu vor- 
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gig gemacht wird und wobei der Prufvorgang fur das Auslesen 
des betroffenen Eingabekanals vollkommen transprarent ist. 

3. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 
gabekanal zum Anschluft peripherer Sensorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 
net, daft der mindestens eine Eingabekanal antivalent 
ausgelegt ist. 



4 . Fehlersicheres Datenausgabegerat mit mindestens einem Aus- 
gabekanal zum Anschluft peripherer Aktorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 

15 net, daft eine Verarbeitungseinheit zur Verarbeitung be- 
nutzerprojektierbarer logischer Verknupfungen vorgesehen ist, 
wobei die Verarbeitungseinheit das Nut zinf ormation (TN) eines 
empfangenen Telegramms (T) auswertet, das Nut zinf ormation der 
benutzerprojektierbaren logischen Verknupfung unterwirft und 

20 ensprechend dem Ergebnis der logischen Verknupfung den minde- 
stens einen Ausgabekanal ansteuert. 

5. Fehlersicheres Datenausgabegerat nach Anspruch 4, d a - 
durch gekennzeichnet, dafi die Ver- 

25 arbeitungseinheit die zeitliche Abfolge der mit dem Nutzin- 
f ormation (TN) ubermittelten Prozefidaten uberwacht und den 
mindestens einen Ausgabekanal nur dann ansteuert, wenn die 
zeitliche Abfolge der zur Ansteuerung der Ausgabekanals er- 
forderlichen Daten innerhalb vorgegebener Toleranzen liegt. 

30 

6. Fehlersicheres Datenausgabegerat nach Anspruch 4 oder 5, 
dadurch gekennzeichnet, daft eine 
als Watchdog ausgebildete und die Verarbeitungseinheit uber- 
wachende Uberwachungsschaltung vorgesehen ist, welche den 

35 mindestens einen Ausgabekanal in einen sicheren Zustand uber- 
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fiihrt, sobald eine Fehlf unktion der Verarbeitungseinheit 
festgestellt ist. 

7. Fehlersicheres Datenausgabegerat nach Anspruch 6, d a - 
durch gekennzeichnet, dafi der durch 

die Verarbeitungseinheit ansteuerbare Ausgabekanal als ruck- 
lesbarer Ausgabekanal ausgebildet ist, daft das dem Ausgabeka- 
nal zufuhrbare Signal auch der Uberwachungsschaltung zufuhr- 
bar ist, daii die Uberwachungsschaltung das ihr zugefuhrte und 
das vom Ausgabekanal zuruckgelesene Signal vergleicht und bei 
Abweichungen den betroffenen Ausgabekanal oder samtliche Aus- 
gabekanale in einen sicheren Zustand uberfuhrt. 
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